Статья 47. Обязывающие корпоративные правила

 
 

1. Компетентное надзорное учреждение в соответствии с механизмом согласования, указанном в статье 63, утверждает обязывающие правила для предприятия при условии, что они:

  1. являются юридически обязывающими и применимыми, и их выполняет каждый соответствующий член группы предприятий или каждый член такой группы предпринимательских обществ, вовлечённых в совместную хозяйственную деятельность, в том числе их сотрудники;
  2. прямо предоставляют осуществляемые права субъектам данных в отношении обработки персональных данных; и
  3. соответствуют требованиям, изложенным в пункте 2.

2. В обязывающих правилах для предприятия, упомянутых в пункте 1, как минимум, указывают:

  1. структуру и контактную информацию каждой группы предприятий или группы предпринимательских обществ, вовлечённых в совместную хозяйственную деятельность, а также структуру и контактную информацию каждого из её членов;
  2. отправку или многократную отправку данных, включая категории персональных данных, способ обработки и её цели, соответствующий тип субъектов данных и идентификацию относительно соответствующей третьей страны или стран;
  3. его юридический (как внутренний, так и внешний) обязывающий характер;
  4. применение общих принципов защиты данных, в частности, целевого ограничения, минимизации данных, ограниченных сроков хранения, качества данных, защиты интегрированных данных и защиты данных по умолчанию, юридического основания обработки, обработки конкретных категорий персональных данных, мер по обеспечению безопасности данных, требования относительно дальнейшей отправки данных структурам, к которым не относятся обязывающие правила для предприятия;
  5. права субъектов данных в отношении обработки и средствами осуществления указанных прав, включая право не быть субъектами таких решений, в основе которых лежит исключительно автоматизированная обработка, в том числе профилирование, в соответствии со статьей 22, право на подачу жалобы компетентному надзорному учреждению и в компетентный суд государств-членов ЕС, в соответствии со статьей 79, и право на защиту прав и, в случае необходимости, право на компенсацию за нарушение обязывающих правил для предприятия;
  6. согласие контроллера или процессора, осуществляющих предпринимательскую деятельность на территории государства-члена ЕС, на то, что они берут на себя ответственность за нарушение обязывающих правил для предприятия, которое совершил любой соответствующий член, не ведущий предпринимательскую деятельность в Союзе; контроллер или процессор полностью или частично освобождаются от указанной обязанности только тогда, если докажут, что указанный член не несёт ответственность за событие, которое причинило ущерб;
  7. в качестве дополнительной информации, упомянутой в статье 13 и 14, субъектам данных предоставляется информация об обязывающих правилах, в частности, о положениях, указанных в подпунктах d), e) и f) настоящего пункта;
  8. задачи любого специалиста по защите данных, назначенного в соответствии со статьей 37, или задачи любого иного физического лица или единицы, отвечающей за контроль соблюдения обязывающих правил для предприятия, в группе предприятий или в группе предпринимательских обществ, вовлечённой в совместную хозяйственную деятельность, а также задачу мониторинга обучения и рассмотрения жалоб;
  9. процедуры рассмотрения жалоб;
  10. сформированные механизмы по обеспечению верификации соблюдения обязывающих правил для предприятия в группе предприятий или предпринимательских обществ, вовлечённых в совместную хозяйственную деятельность. Такого рода механизмы включают в себя ревизию и методы, обеспечивающие корректирующее действие по защите прав субъекта данных. Результаты такой проверки должны быть сообщены лицу или единице, указанной в пункте h) или правлению контролирующего предприятия группы предприятий, или правлению группы предпринимательских обществ, вовлечённых в совместную хозяйственную деятельность, и по запросу они должны быть доступны компетентному надзорному учреждению;
  11. механизмы, сформированные для извещения об изменениях в положениях и их регистрации, и для сообщения надзорному учреждению об упомянутых изменениях;
  12. механизм сотрудничества с надзорным учреждением, в целях обеспечения соблюдения положений всеми членами групп предприятий или групп предпринимательских обществ, вовлечённых с совместную хозяйственную деятельность, в частности, делая доступными надзорному учреждению результаты мер по верификации результатов, указанных в подпункте j);
  13. механизмы для сообщения компетентному надзорному учреждению о любых юридических требованиях, применимых третьей страной в отношении любого члена группы предприятий или групп предпринимательских обществ, вовлечённых в совместную хозяйственную деятельность и которые могут оказать значительное неблагоприятное воздействие на гарантии, предусмотренные обязывающими правилами для предприятия; и
  14. соответствующее обучение защите данных для персонала, имеющего постоянный или регулярный доступ к персональным данным.

3. Комиссия может установить формат и процедуры для обмена информацией между контроллером, процессором и надзорными учреждениями по обязывающим правилам для предприятий, в значении настоящей статьи. Указанные исполнительные акты принимаются в соответствии с процедурой проверки, указанной в пункте 2 статьи 93.

 
 

Наверх